Millones de vehículos podrían ser hackeados y rastreados gracias a un simple fallo en un sitio web

En el pasado, cuando los investigadores de seguridad encontraban formas de secuestrar los sistemas conectados a internet de los vehículos, sus demostraciones de prueba de concepto solían demostrar, afortunadamente, que hackear autos es difícil. Explotaciones como las que utilizaron los hackers para hacerse con el control remoto de un Chevrolet Impala en 2010, o de un Jeep en 2015, requirieron años de trabajo y trucos ingeniosos: ingeniería inversa del oscuro código de las unidades telemáticas de los autos, envío de software malicioso a esos sistemas a través de tonos de audio reproducidos por conexiones de radio, o incluso la introducción de un disco con un archivo de música cargado de malware en la unidad de CD del automóvil.

Es más fácil de lo que pensábamos

Este verano, un pequeño grupo de piratas informáticos demostró una técnica mucho más sencilla para hackear y rastrear millones de vehículos, tan fácil como encontrar un simple fallo en un sitio web.

Hoy, un grupo de investigadores de seguridad independientes reveló que encontró un fallo en un portal web del fabricante de automóviles Kia que permite a los investigadores reasignar el control de las funciones conectadas a internet de la mayoría de los vehículos Kia modernos (decenas de modelos que representan millones de autos en circulación) desde el smartphone del propietario de un automóvil al propio teléfono o a la computadora de los hackers. Aprovechando esa vulnerabilidad y creando su propia aplicación personalizada para enviar órdenes a los vehículos objetivo, fueron capaces de escanear la matrícula de prácticamente cualquier vehículo Kia conectado a internet y, en cuestión de segundos, obtener la capacidad de rastrear la ubicación de ese auto, desbloquearlo, tocar el claxon o arrancarlo a voluntad. Aquí está una prueba, en inglés:

Kia corrigió el fallo

Después de que los investigadores alertaran a Kia sobre el problema en junio, Kia parece haber corregido la vulnerabilidad en su portal web, aunque en ese momento dijo a WIRED que todavía estaba investigando los hallazgos del grupo y no ha respondido a los correos electrónicos de desde entonces. Sin embargo, según los investigadores, el parche de Kia dista mucho de ser el final de los problemas de seguridad de la industria automovilística a través de internet. El fallo web que utilizaron para piratear los Kias es, de hecho, el segundo de este tipo del que informan a la empresa propiedad de Hyundai; el año pasado encontraron una técnica similar para secuestrar los sistemas digitales de los Kias. Y esos fallos son apenas dos de una serie de vulnerabilidades similares basadas en la web que han descubierto en los últimos dos años y que han afectado a automóviles vendidos por Acura, Genesis, Honda, Hyundai, Infiniti y Toyota, entre otros.

«Cuanto más investigamos, más evidente resulta que la seguridad web de los vehículos es muy deficiente», destaca Neiko «Specters» Rivera, uno de los investigadores que descubrió la última vulnerabilidad de Kia y trabajó con un grupo más amplio, responsable de la anterior colección de problemas de seguridad web de automóviles revelados en enero del año pasado.

«Una y otra vez, estos problemas puntuales siguen apareciendo», de acuerdo con Sam Curry, otro miembro del grupo de piratas informáticos de autos, que trabaja como ingeniero de seguridad para la empresa Web3, Yuga Labs, pero dice que hizo esta investigación de forma independiente. «Han pasado dos años, se ha trabajado mucho y bien para solucionar este problema, pero todavía parece roto».

Leer una matrícula y hackear un automóvil

Antes de alertar a Kia sobre su última vulnerabilidad de seguridad, el grupo de investigación probó su técnica basada en la web en un puñado de Kias (alquilados, autos de amigos, incluso vehículos en lotes de concesionarios) y descubrió que funcionaba en todos los casos. También mostraron la técnica a WIRED, demostrándola en el Kia Soul 2020 de un investigador de seguridad que les habían presentado minutos antes en un estacionamiento de Denver, Colorado, como se ve en el video de arriba.

La técnica de pirateo de Kia basada en la web del grupo no permite a un hacker acceder a los sistemas de conducción, como la dirección o los frenos, ni superar el llamado inmovilizador que impide que un auto se ponga en marcha, aunque su encendido esté conectado. Sin embargo, podría haberse combinado con técnicas de desactivación de inmovilizadores muy populares entre los ladrones de autos o haberse usado para robar vehículos de gama baja que no tienen inmovilizadores, incluidos algunos Kias.

Jose Alexis Correa Valencia

Consultor de sistemas informáticos avanzados con más de 25 años de experiencia en el sector privado. Su carrera se ha enfocado en el análisis y diseño de sistemas, la instalación y configuración de hardware y software, así como en la administración de redes para diversas empresas. Además, ha tenido el privilegio de ser capacitador en temáticas avanzadas, especializándose en el manejo de datos en línea, la seguridad de transacciones y los multimedios.

Ver todas las entradas